<?php
// includes/headers.php

// 允许 iframe 加载的域名（改成您的真实域名）
$allowed_domain = 'https://chat.jiil.top';

// 设置安全头
header("Access-Control-Allow-Origin: $allowed_domain");
header("Access-Control-Allow-Credentials: true");
header("Content-Security-Policy: frame-ancestors 'self' $allowed_domain");
header("X-Frame-Options: ALLOW-FROM $allowed_domain");

// 禁止缓存这些头（重要！）
header_remove('X-Frame-Options'); // 先移除可能存在的旧设置
header_remove('Content-Security-Policy');